Сервисные аккаунты
Сервисный аккаунт — аккаунт, от имени которого программы могут управлять ресурсами в Яндекс.Облаке через API.
Зачем нужны сервисные аккаунты
Использование сервисных аккаунтов позволяет гибко настраивать права доступа к ресурсам для написанных вами программ.
Например, вы написали программу, которая отслеживает статусы виртуальных машин. Для этого ей достаточно иметь права на просмотр (роль viewer), но программа работает от вашего имени, а у вас есть права на удаление виртуальных машин.
Чтобы защититься от случайного удаления виртуальной машины вашей программой, создайте сервисный аккаунт и дайте ему доступ только на просмотр.
Сервисный аккаунт является ресурсом. Вы можете назначать и отзывать роли на сервисный аккаунт у других пользователей, чтобы они смогли самостоятельно создавать ключи, используемые для авторизации.
Используйте сервисные аккаунты там, где выполнять операции от имени обычного пользователя неудобно или небезопасно.
Ключи сервисного аккаунта
Для аутентификации сервисного аккаунта в Яндекс.Облаке используются:
- авторизованные ключи — используются при получении IAM-токена;
- API-ключи — используются в некоторых сервисах для упрощенной аутентификации вместо IAM-токена;
- статические ключи доступа — используются в сервисах с AWS-совместимым API.
Созданные ключи принадлежат сервисному аккаунту и разрешения на управление ключами наследуются от сервисного аккаунта. Например, если у вас есть роль viewer на сервисный аккаунт, то вы сможете посмотреть список ключей, принадлежащих этому аккаунту, но не сможете их удалить или создать новые ключи.